Orygano Opublikowano 3 Października 2011 Zgłoś Udostępnij Opublikowano 3 Października 2011 Mój kolega przy mojej nieobecności zainstalował cracka do adobe cs5.5 suite master collection, na youtube ktoś wrzucił filmik: http://www.youtube.com/watch?v=r3gf4dQy_-8 i on ściągnął ten plik poczym zaczęły się pokazywać takie komunikaty: Pokazuje screeny: Jakie logi mam wykonać? Odnośnik do komentarza
picasso Opublikowano 3 Października 2011 Zgłoś Udostępnij Opublikowano 3 Października 2011 Jakie logi mam wykonać? Zasady działu: KLIK. Odnośnik do komentarza
Orygano Opublikowano 4 Października 2011 Autor Zgłoś Udostępnij Opublikowano 4 Października 2011 Log z OTL OTL - http://wklej.org/id/602888/txt/ Extras - http://wklej.org/id/602889/txt/ Odnośnik do komentarza
picasso Opublikowano 4 Października 2011 Zgłoś Udostępnij Opublikowano 4 Października 2011 Ten crack Adobe wprowadził aż 6 wpisów ładowania. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [conhost] C:\Users\Michal\AppData\Roaming\Microsoft\conhost.exe (GravesClaremont ParetoMontclair TuscaroraUkrainianBritainRomeo Sheila) O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [Adobe CS 5.5 Keygen] C:\Users\Michal\AppData\Local\Temp\winlogon.exe () O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [conhost] C:\Users\Michal\AppData\Roaming\Microsoft\conhost.exe (GravesClaremont ParetoMontclair TuscaroraUkrainianBritainRomeo Sheila) F3:64bit: - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Michal\AppData\Local\Temp\csrss.exe) - C:\Users\Michal\AppData\Local\Temp\csrss.exe () F3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001 WinNT: Load - (C:\Users\Michal\AppData\Local\Temp\csrss.exe) -C:\Users\Michal\AppData\Local\Temp\csrss.exe () [2011-10-03 09:12:52 | 000,181,760 | ---- | C] () -- C:\Users\Michal\AppData\Roaming\dwm.exe [2011-10-03 09:12:33 | 000,009,392 | ---- | C] () -- C:\Users\Michal\AppData\Roaming\6418.A8D [2011-01-02 20:44:01 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\ProgSense [2010-10-20 15:40:12 | 000,000,923 | ---- | M] () -- C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\a2w6fta7.default\searchplugins\conduit.xml @Alternate Data Stream - 1301 bytes -> C:\Users\Michal\AppData\Local\CJCxpbJgIGoKWH1:ucjUhuAVYiUnJamhDarqlsxp IE - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57414 FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@qq.com/npqscall,version=1.0.0: %commonprogramfiles%\tencent\NPQSCALL\npqscall.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, powinien się automatycznie otworzyć log z wynikami usuwania. 2. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję) oraz AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania pozyskany w punkcie 1. . Odnośnik do komentarza
Orygano Opublikowano 4 Października 2011 Autor Zgłoś Udostępnij Opublikowano 4 Października 2011 OTL - http://wklej.org/id/603327/txt/ AD-Remover - http://wklej.org/id/603331/txt/ Odnośnik do komentarza
picasso Opublikowano 5 Października 2011 Zgłoś Udostępnij Opublikowano 5 Października 2011 Zadanie pomyślnie wykonane. 1. AD-Remover widzi drobne odpadki adware. Uruchom go w trybie Clean. Po skończeniu operacji możesz narzędzie odinstalować. 2. W OTL uruchom Sprzątanie, mające na celu likwidację kwarantanny OTL z dysku. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wynikowy raport (o ile coś zostanie wykryte). . Odnośnik do komentarza
Orygano Opublikowano 5 Października 2011 Autor Zgłoś Udostępnij Opublikowano 5 Października 2011 Log z Malwarebytes' Anti-Malware - http://wklej.org/id/603381/txt/ Odnośnik do komentarza
picasso Opublikowano 5 Października 2011 Zgłoś Udostępnij Opublikowano 5 Października 2011 (edytowane) Oceniając wyniki: - Wszystkie keygeny / keymakery Adobe zlokalizowane w C:\Users\Michal\documents + downloads definitywnie do usunięcia. Dodatkowa przestroga: aktualnie coś co ma postać "*key*.exe" to nazwa dla naiwnych, w większości przypadków można obstawiać trojany i nie ściągać takich rzeczy (!). - Ten plik C:\Windows\installer\MSIC3B.tmp również skasuj. - Wszystkie wyniki z katalogu c:\Users\Michal\AppData\Local\thinstall to prawdopodobnie fałszywy alarm. MBAM nie lubi paczek robionych wirtualizacyjną metodą Thinstall. Tu wygląda to na tzw. "wersję portable" WinPCap, a jakie to "portable" widać po katalogu na dysku. Jeśli już to usunąłeś, cały katalog thinstall też możesz skasować. - Ostatnie dwa wyniki są dla mnie niejasne, bo to pliki Windows: c:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe (Trojan.FakeMS) -> No action taken.c:\Windows\winsxs\Backup\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49_wininit.exe_7a527f28 (Trojan.FakeMS) -> No action taken. EDIT: To fałszywe alarmy MBAM, omiń te dwa pliki. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi